Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2021-04389

Опубликовано: 01 июл. 2020
Источник: fstec
CVSS3: 6.1
CVSS2: 6.4
EPSS Низкий

Описание

Уязвимость средств контроля доступа и удаленной аутентификации BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, DNS, FPS, GTM, Link Controller, PEM) связана с непринятием мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, осуществлять межсайтовые сценарные атаки

Вендор

F5 Networks, Inc.

Наименование ПО

BIG-IP Access Policy Manager
BIG-IP Advanced Firewall Manager
BIG-IP Analytics
BIG-IP Application Acceleration Manager
BIG-IP Application Security Manager
BIG-IP DNS
BIG-IP Fraud Protection Service
BIG-IP Global Traffic Manager
BIG-IP Link Controller
BIG-IP Local Traffic Manager

Версия ПО

от 12.1.0 до 12.1.5.2 (BIG-IP Access Policy Manager)
от 13.1.0 до 13.1.3.4 (BIG-IP Access Policy Manager)
от 14.1.0 до 14.1.2.6 (BIG-IP Access Policy Manager)
от 15.0.0 до 15.0.1.4 (BIG-IP Access Policy Manager)
от 15.1.0 до 15.1.0.4 (BIG-IP Access Policy Manager)
от 12.1.0 до 12.1.5.2 (BIG-IP Advanced Firewall Manager)
от 13.1.0 до 13.1.3.4 (BIG-IP Advanced Firewall Manager)
от 14.1.0 до 14.1.2.6 (BIG-IP Advanced Firewall Manager)
от 15.0.0 до 15.0.1.4 (BIG-IP Advanced Firewall Manager)
от 15.1.0 до 15.1.0.4 (BIG-IP Advanced Firewall Manager)
от 12.1.0 до 12.1.5.2 (BIG-IP Analytics)
от 13.1.0 до 13.1.3.4 (BIG-IP Analytics)
от 14.1.0 до 14.1.2.6 (BIG-IP Analytics)
от 15.0.0 до 15.0.1.4 (BIG-IP Analytics)
от 15.1.0 до 15.1.0.4 (BIG-IP Analytics)
от 12.1.0 до 12.1.5.2 (BIG-IP Application Acceleration Manager)
от 13.1.0 до 13.1.3.4 (BIG-IP Application Acceleration Manager)
от 14.1.0 до 14.1.2.6 (BIG-IP Application Acceleration Manager)
от 15.0.0 до 15.0.1.4 (BIG-IP Application Acceleration Manager)
от 15.1.0 до 15.1.0.4 (BIG-IP Application Acceleration Manager)
от 12.1.0 до 12.1.5.2 (BIG-IP Application Security Manager)
от 13.1.0 до 13.1.3.4 (BIG-IP Application Security Manager)
от 14.1.0 до 14.1.2.6 (BIG-IP Application Security Manager)
от 15.0.0 до 15.0.1.4 (BIG-IP Application Security Manager)
от 15.1.0 до 15.1.0.4 (BIG-IP Application Security Manager)
от 12.1.0 до 12.1.5.2 (BIG-IP DNS)
от 13.1.0 до 13.1.3.4 (BIG-IP DNS)
от 14.1.0 до 14.1.2.6 (BIG-IP DNS)
от 15.0.0 до 15.0.1.4 (BIG-IP DNS)
от 15.1.0 до 15.1.0.4 (BIG-IP DNS)
от 12.1.0 до 12.1.5.2 (BIG-IP Fraud Protection Service)
от 13.1.0 до 13.1.3.4 (BIG-IP Fraud Protection Service)
от 14.1.0 до 14.1.2.6 (BIG-IP Fraud Protection Service)
от 15.0.0 до 15.0.1.4 (BIG-IP Fraud Protection Service)
от 15.1.0 до 15.1.0.4 (BIG-IP Fraud Protection Service)
от 12.1.0 до 12.1.5.2 (BIG-IP Global Traffic Manager)
от 13.1.0 до 13.1.3.4 (BIG-IP Global Traffic Manager)
от 14.1.0 до 14.1.2.6 (BIG-IP Global Traffic Manager)
от 15.0.0 до 15.0.1.4 (BIG-IP Global Traffic Manager)
от 15.1.0 до 15.1.0.4 (BIG-IP Global Traffic Manager)
от 12.1.0 до 12.1.5.2 (BIG-IP Link Controller)
от 13.1.0 до 13.1.3.4 (BIG-IP Link Controller)
от 14.1.0 до 14.1.2.6 (BIG-IP Link Controller)
от 15.0.0 до 15.0.1.4 (BIG-IP Link Controller)
от 15.1.0 до 15.1.0.4 (BIG-IP Link Controller)
от 12.1.0 до 12.1.5.2 (BIG-IP Local Traffic Manager)
от 13.1.0 до 13.1.3.4 (BIG-IP Local Traffic Manager)
от 14.1.0 до 14.1.2.6 (BIG-IP Local Traffic Manager)
от 15.0.0 до 15.0.1.4 (BIG-IP Local Traffic Manager)
от 15.1.0 до 15.1.0.4 (BIG-IP Local Traffic Manager)

Тип ПО

ПО сетевого программно-аппаратного средства
Средство защиты

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,4)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,1)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://support.f5.com/csp/article/K43638305

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 92%
0.09081
Низкий

6.1 Medium

CVSS3

6.4 Medium

CVSS2

Связанные уязвимости

nvd логотип

CVE-2020-5903

CVSS3: 6.1
nvd
больше 5 лет назад

In BIG-IP versions 15.0.0-15.1.0.3, 14.1.0-14.1.2.5, 13.1.0-13.1.3.3, 12.1.0-12.1.5.1, a Cross-Site Scripting (XSS) vulnerability exists in an undisclosed page of the BIG-IP Configuration utility.

github логотип

GHSA-q6xc-mgx9-83rc

CVSS3: 6.1
github
больше 3 лет назад

In BIG-IP versions 15.0.0-15.1.0.3, 14.1.0-14.1.2.5, 13.1.0-13.1.3.3, 12.1.0-12.1.5.1, a Cross-Site Scripting (XSS) vulnerability exists in an undisclosed page of the BIG-IP Configuration utility.

EPSS

Процентиль: 92%
0.09081
Низкий

6.1 Medium

CVSS3

6.4 Medium

CVSS2